Алексей Лукацкий
Бизнес-консультант по безопасности, компания Cisco Systems
Очень часто мне приходится слышать, что информационная безопасность - это
трудно, ново, непонятно и т.д. На самом деле все не так. Защита информации -
дисциплина хоть и новая, но имеющая корни, уходящие в древность, еще до нашей
эры. Но разговор пойдет не об этом. Я покажу, что безопасность информационной
системы медицинского учреждения очень похожа на лечение детей. Скажу больше -
эти два процесса построены на одних и тех же принципах и если из рассказа убрать
специльную терминологию, то с первого взгляда будет затруднительно понять, о чем
идет речь - об информационной безопасности или детской медицине.
Анамнез
Речь пойдет о безопасности медицинской сети, а точнее ее филиалов (поликлиник,
автомобилей скорой помощи, оснащенных доступом в сеть, мобильных госпиталей и
т.п.), которые чаще всего и являются головной болью специалистов по защите
информации. Ведь именно оттуда исходит основная угроза, именно там не хватает
квалифицированных специалистов и минимально необходимых средств защиты, именно
туда устремляют свой взор хакеры, понимая, что легче взломать удаленный филиал и
использовать его как базу для дальнейшей атаки на центральную сеть, чем идти в
лобовую, заранее обрекая себя на неудачу.
Филиал, как и любая другая удаленная площадка (например, домашний или мобильный
компьютер), также как и новорожденный младенец незащищен и очень слаб. Он может
подхватить любую заразу. Мало того, неправильный уход за ним также влечет за
собой увеличение риска ухудшения здоровья (снижения уровня защищенности). И при
этом сам по себе младенец защититься не может, как и не может обойтись без
материнской поддержки. Брошенный на произвол судьбы, он становится жертвой
различных проблем - от инфекционных заболеваний и кожных высыпаний до опрелостей
и вывихов, которые имеют свои аналоги и в информационной безопасности (см.
далее). Поэтому важно, чтобы неусыпный контроль за младенцем осуществлялся
круглосуточно (хотя на практике информационной безопасностью занимаются с девяти
утра до шести вечера, а родители с детьми наоборот – все остальное время они
предоставлены сами себе).
Проблема усугубляется еще и тем, что у новорожденного младенца боль не
локализуется - у него может болеть все, что угодно. Сопровождаемые слезами, вы
будете искать причину надрывного плача, которую определить без должных навыков
очень и очень трудно. В корпоративной медицинской сети ситуация идентична -
отсутствие механизмов идентификации внутренних проблем (у ребенка они тоже
формируются не сразу) не позволяет вам быстро определить причину и источник
снижения скорости работы сети и других признаков нарушения работоспособности.
Более того, ваши поиски будут сопровождаться постоянным нытьем сотрудников "у
меня не работает сеть", "а чо так медленно" и т.д.
В таких аналогиях можно пойти еще дальше. Младенец не только не может
локализовать место "где болит"; он вообще не имеет представления о своем теле.
Он не понимает, где и что у него находится. Только став немного постарше, он
"находит" свои руки и другие части тела. А корпоративные сети? Ситуация похожа
до степени смешения. Есть ли у вас в организации карта сети? Знаете ли вы, где
находятся ваши модемы и другие каналы потенциальных проблем (как с точки зрения
утечки информации, так и с точки зрения проникновения в сеть в обход средств
защиты)? Вы точно знаете, как работает ваш межсетевой экран? А когда последний
раз обновлялась ваша система обнаружения атак и антивирус? Если на все эти
вопросы вы дали отрицательный ответ, то вам надо срочно предпринять шаги по
выяснению информации, без которой обеспечение безопасности становится похоже на
сказку - "Пойди туда, не знаю куда. Принеси то, не знаю что".
Кстати о сказках. Защита информации, как и медицина, просто изобилует сказками и
мифами, мешающими нормально жить не только рядовому пользователю компьютера, но
и экспертам. Но я не буду здесь касаться этой темы - она слишком обширна, чтобы
уместить ее в рамках даже одной статьи.
Вирусы и другие инфекции
Поговорим о вирусах и других инфекциях, которым одинаково подвластны и
новорожденные и медицинские сети. Отличается они только природой своего
возникновения - компьютерные создаются людьми, а медицинские - эволюцией (и в
очень редких случаях людьми). Как и в компьютерном мире, новорожденные могут
подхватить огромное количество различных вирусов, столкнуться с нарушением своей
целостности, доступностью каких-то функций своего организма. При этом чем больше
младенец взаимодействует с внешним миром (прогулки, поликлиника, смотрины,
поездки на общественном транспорте), тем выше шансы подцепить заразу. Снижение
этого риска вполне по силам не только детям VIP-персон (крупным корпорациям), но
и наследникам неблагополучных семей. Было бы желание, а возможностей существует
огромное количество (о них смотри далее).
Вопреки распространенному заблуждению, малыш может заразиться не только
воздушно-капельным путем, хотя основной объем заражений происходит именно так.
Но нельзя сбрасывать со счетов и другие каналы инфицирования (то же
прикосновение грязными руками, через молоко матери и другие, не менее чреватые
способы). Корпоративной сети также присуща не одна точка проникновения - помимо
основного выхода в Интернет существуют еще и модемные входы, которые даже более
опасны по причине недооценки этой беды. А если вспомнить про мобильные телефоны,
поддерживающие GPRS для выхода в Интернет, USB-флешки, дискеты, CD, слоты PCMCIA
и т.п.?
И в медицине, и в информационной безопасности инфекции бывают и внутренние и
внешние. Первые, разумеется, опасней, чем вторые, например, онкология. Хотя и
внешняя зараза таит в себе серьезную угрозу для корпоративного организма. Но на
этом их похожесть не заканчивается. В обоих случаях инфекции могут гулять в обе
стороны - от периферии к центру и наоборот. Но второй вариант происходит реже,
т.к. защитные функции материнского организма куда сильнее чем у новорожденного
(как в центральном офисе компании, имеющей ресурсы на оснащение защитными
системами в первую очередь своего головной организации).
Рассмотрим частный случай одного из неприятных проявлений, проявляющихся по
причине неправильного ухода за младенцем. Речь пойдет о кожных высыпаниях,
например, на лице ребенка. А что является лицом организации с точки зрения
компьютерной сети? Ее сайт, на котором тоже могут появиться различные
"высыпания", названные красивым английским словом – deface (изуродование) или
«виртуальное граффити». Иными словами, это подмена главной страницы сайта
компании, на которой могут появиться различные «заборные надписи». Что-то вроде
«Здесь был Вася!», «Милана, я тебя люблю!», «Я взломал вас!» и т.п. Бывает и
так, что хакер, взломавший сайт, высказывает свою точку зрения на мир вообще и
администратора взломанного сайта в частности. Каким бы взломщик интеллектуалом
не был, ущерб репутации взломанной компании очень серьезен – на Западе это может
повлечь за собой серьезные финансовые проблемы у атакованной организации.
Лечение или профилактика?
Очевидно, что лечить болезнь до того как вы ею заразились дело бессмысленное,
если не сказать опасное. Гораздо эффективнее (и с этим согласится любой врач)
снизить вероятность инфицирования различными профилактическими мерами, в т.ч. и
не требующих материальных затрат – закаливание, гигиена и т.д. Иными словами вы
используете не средства защиты, которые «лечат» уже свершившийся факт, а
профилактические мероприятия – организационные меры, регулярное обновление
программно-аппаратного обеспечения, своевременное обучение, встроенные механизмы
защиты (а их немало) и т.д.
Если уж обойтись без лекарств никак нельзя, то зачем тратиться на дорогостоящие
препараты, когда можно обойтись природной кладовой, т.е. целебными травами,
которые практически бесплатны, но от этого не менее эффективны. В информационной
безопасности роль трав выполняют свободно распространяемые средства защиты. Но и
они не решают всех проблем с корпоративным «здоровьем». Надо быть экспертом,
чтобы выжать максимум возможностей из «бесплатной» защиты – это может далеко не
каждый. В противном случае применение таких «лекарств» становится абсолютно
бессмысленным, если не сказать опасным – возникает чувство ложной защищенности.
Поэтому, как и в любой другой сфере жизнедеятельности, нужен здоровый компромисс
– там где не хватает сил собственных, привлечь силы внешние; там где не хватает
свободно распространяемых или встроенных средств защиты, надо использовать
расширенные системы. И конечно же учитывать болезнь, от которой мы стараемся
защититься – бороться с ОРВИ мощнейшими антибиотиками не стоит – деньги будут
выброшены на ветер. А вот против фалликулярной ангины обычный чай с лимоном уже
не спасет. Аналогично и в безопасности – средство защиты должно быть адекватно
модели угроз, чтобы «не стрелять из пушки по воробьям».
Лекарства
Если уж вы решились на приобретение лекарств, то лечение описанных выше болезней
корпоративной сети осуществляется различными лекарствами - средствами защиты,
различающихся сроком нахождения на рынке, известностью, наличием сертификата
соответствия и, конечно же, ценой. Есть «лекарства» лечащие (например,
антивирусные мониторы), обнаруживающие попавшую в организм сети инфекцию, а есть
профилактические (например, межсетевые экраны), предотвращающие проникновение
заразы в недра корпоративной сети.
Как и в медицине, неправильное применение лекарств может привести к ложному
чувству своей защищенности или даже гораздо более печальным последствиям. И хотя
в информационной безопасности передозировки быть не может, отказ от следовании
инструкциям может привести к заметному ухудшению здоровья корпоративной сети и
даже ее временному параличу.
Очевидно, что с течением времени эффективность лекарств падает - инфекции
адаптируются к защитным средствам и учатся обходить их. А следовательно нужна
постоянная модификация средств обеспечения информационной безопасности против
новых угроз – обновление антивирусных баз и систем обнаружения атак, правил на
межсетевом экране и т.д. И вообще борьба организма с вредителями не прекращается
ни на минуту - это процесс непрерывный, длящийся с момента зарождения как сети,
так и человека, и до конца их жизненного цикла. Побеждает тот, кто оказывается
расторопнее.
Рассмотрим корпоративные «лекарства» немного под другим углом. Обе
рассматриваемые отрасли очень четко регулируют выпуск своих «лекарств». И в
медицине и в защите информации это регулируется соответствующими лицензиями на
право заниматься выпуском лекарств (разработкой средств защиты), а вывод их на
рынок возможен только после получения соответствующих сертификатов соответствия
некоторым государственным требованиям. А, как известно, многие чиновники у нас
нечисты на руки и за соответствующую мзду готовы выдать и лицензии и, что самое
опасное, сертификаты как на лекарства, так и на средства защиты, что может
привести к негативным последствиям – препарат не будет иметь того эффекта,
который от него ожидается.
Пара фраз об аутсорсинге
Сейчас много говорят об аутсорсинге услуг в области безопасности, которые
позволяют снять груз забот о своей безопасности со своих плеч и переложить их на
другие. Можно ли найти аналогии в мире медицины? Конечно. Если вам нужны весы
для измерения веса младенца, то скорее всего вы не будете покупать их (если вы
не Рокфеллер или не планируете потом измерять на этих весах урожай с дачи), т.к.
они нужны вам только в течение первого года. А вот взять весы на прокат - это
будет правильно и, конечно же, дешевле. Также и с безопасностью. Если вы хотите
измерить уровень своей защищенности, то нет смысла покупать сканер безопасности
- проще взять его в прокат, т.е. на аутсорсинг. Как и в медицине, аутсорсинг
безопасности имеет свои ограничения и свою область применения – панацеей он не
является. Да и сам процесс защиты информационных активов в последнее время все
чаще и чаще отдается на откуп специалистам аутсорсинговых компаний. Ведь не
приходит нам в голову делать себе или другу операцию или прописывать лекарства
(хотя последнее многие делают достаточно часто) – мы доверяем это специалистам.
Да и вообще врачам мы доверяем очень часто и очень многое. Так почему бы не
сделать тоже самое с безопасностью? Если нам самим этим заниматься недосуг или
нет нужных ресурсов и квалификации, – лучше поручить это профессионалам.
Знание - сила
Если ребенок плачет, то не стоит думать, что плач вызван капризами, как часто
говорят некоторые врачи «старой закалки». Возможно ребенок требует присутствия
мамы, его раздражают опрелости, ему холодно или он банально голоден. Сигналы
тревоги, которые подают дети, требуют немедленной реакции. И в детской медицине
и в информационной безопасности очень трудно по сигналу определить причину
тревоги. Нужны дополнительные исследования, которые и подскажут, в каком
направлении стоит двигаться. Конечно есть уникумы, которые могут по плачу
ребенка определять его причину, также как и "читать" с монитора системы защиты
дампы сетевого трафика. Но эти исключения лишний раз подтверждают правило «без
знания симптомов и быстрой реакции на них можно болезнь запустить». А чтобы
разбираться в симптомах нужно квалифицированное обучение и регулярное повышение
квалификации.
Почему-то считается, что в информационной безопасности работает метод «плыви или
тони». Т.е. администратора безопасности сразу «бросают на амбразуру», считая,
что он самостоятельно разберется в том, как защитить подвластные ему ресурсы.
Можете мне поверить, не разберется. Для того, чтобы стать дипломированным врачом
требуются годы обучения в институте. Но получение заветной корочки не
освобождает вас от необходимости раз в несколько лет подтверждать свою
квалификацию. Ведь появляются новые болезни и новые методы их лечения. Почему же
у администраторов безопасности, этих «врачей корпоративной сети», должно быть
все по-другому? Они тоже должны иметь соответствующие корочки и регулярно
проходить повышение своей квалификации.
Размышления о врачах
Компании, занимающиеся защитой информации, как и врачи, бывают разные, - из
районной поликлиники и суперсовременных медцентров. И что лучше - неизвестно.
Первые зачастую действуют по старинке, но наверняка. Вторые могут «прописать»
современную и дорогую систему защиты, но «забывают» упомянуть о ее побочных
эффектах. Первые не возьмут с вас денег (по крайней мере напрямую), а вторые
сдерут с вас последнюю рубашку. Но и те, и другие, не несут ответственности за
ваше лечение. Как говорится, «спасение утопающих – дело рук самих утопающих».
Как недавно заявил по телевизору заведующий кардиологическим отделением
института Склифосовского Яков Брандт, в России не зафиксировано случаев
привлечения врачей за некомпетентность. В информационной безопасности ситуация
аналогичная – средства защиты вам порекомендуют, их даже настроят… А вот
отвечать за нанесение ущерба по причине выхода из строя ваших серверов не будет
никто. Первые готовы работать с любым заказчиком, а вторые ориентированы только
на корпоративный рынок. К сожалению, имя и большие гонорары еще не означают
квалификацию и опыт. Наверное поэтому, у нас, как и в мире, активно развивается
рынок страховых услуг – страхование здоровья и жизни позволяет получить
некоторые гарантии, что вы не останетесь у разбитого корыта в случае частичной
или полной потери трудоспособности. Аналогичный вид страхования (для
информационных рисков) начинает развиваться и в области безопасности.
Хочу обратить ваше внимание на еще один интересный аспект взаимодействия с
врачами, к которым вы обращаетесь за консультациями. При обращении к ним
стоимость консультации (зачастую при одинаковом результате) зависит от звания
(степени) врача. Кандидат медицинских наук возьмет одну сумму, доктор - выше, а
академик - возьмет с вас по максимуму. В информационной безопасности ситуация до
боли знакомая – гонорар компании-консультанта очень серьезно зависит от ее
величины и очень слабо коррелируется с результатом. Кстати, будьте готовы, что
консультант далеко не всегда является независимым. Очень часто он «подпитывается»
от какой-либо компании-производителя. Такая ситуация существует и в
здравоохранении и в информационной безопасности. К сожалению, в последней
отрасли я не могу назвать конкретных примеров, т.к. в открытой прессе такие
данные не встречаются. А вот в медицине такие факты известны. Относительно
недавно фармацевтический гигант Pfizer признался, что он финансово поощрял
многих врачей, которые рекомендовали пациентам лекарства именно этой компании (я
думаю с другими производителями ситуация аналогичная).
Заключение
И хотя информационная безопасность и детская медицина имеют и различия
(например, число мужчин, занимающихся защитой информации, обратно
пропорционально числу мужчин, знающих как лечить своих детей) между ними гораздо
больше похожих черт, чем кажется на первый взгляд. А значит внедрение технологий
обеспечения сохранности врачебной тайны от посторонних глаз должно проходить
гораздо легче, чем в других областях человеческих знаний. Надо быть только к
этому готовым.
|